Spring Security驗證流程剖析及自定義驗證方法

更新時間：2018年03月08日 16:53:19 作者：Beginner_H

Spring Security是一個能夠為基于Spring的企業(yè)應用系統(tǒng)提供聲明式的安全訪問控制解決方案的安全框架。這篇文章主要介紹了Spring Security驗證流程剖析及自定義驗證方法,需要的朋友可以參考下

Spring Security的本質(zhì)

Spring Security 本質(zhì)上是一連串的 Filter ，然后又以一個獨立的 Filter 的形式插入到 Filter Chain 里，其名為 FilterChainProxy 。如圖所示。

實際上 FilterChainProxy 下面可以有多條 Filter Chain ，來針對不同的URL做驗證，而 Filter Chain 中所擁有的 Filter 則會根據(jù)定義的服務自動增減。所以無需要顯示再定義這些 Filter ，除非想要實現(xiàn)自己的邏輯。

關鍵類

Authentication

Authentication 是一個接口，用來表示用戶認證信息，在用戶登錄認證之前相關信息會封裝為一個 Authentication 具體實現(xiàn)類的對象，在登錄認證成功之后又會生成一個信息更全面，包含用戶權限等信息的 Authentication 對象，然后把它保存在 SecurityContextHolder 所持有的 SecurityContext 中，供后續(xù)的程序進行調(diào)用，如訪問權限的鑒定等。

AuthenticationManager

用來做驗證的最主要的接口為 AuthenticationManager ，這個接口只有一個方法：

public interface AuthenticationManager {
 Authentication authenticate(Authentication authentication)
 throws AuthenticationException;
}

其中 authenticate() 方法運行后可能會有三種情況：

驗證成功，返回一個帶有用戶信息的 Authentication 。

驗證失敗，拋出一個 AuthenticationException 異常。

無法判斷，返回 null 。

ProviderManager

ProviderManager 是上面的 AuthenticationManager 最常見的實現(xiàn)，它不自己處理驗證，而是將驗證委托給其所配置的 AuthenticationProvider 列表，然后會依次調(diào)用每一個 AuthenticationProvider 進行認證，這個過程中只要有一個 AuthenticationProvider 驗證成功，就不會再繼續(xù)做更多驗證，會直接以該認證結果作為 ProviderManager 的認證結果。

認證過程

用戶使用用戶名和密碼進行登錄。

Spring Security 將獲取到的用戶名和密碼封裝成一個 Authentication 接口的實現(xiàn)類，比如常用的 UsernamePasswordAuthenticationToken 。

將上述產(chǎn)生的 Authentication 對象傳遞給 AuthenticationManager 的實現(xiàn)類 ProviderManager 進行認證。

ProviderManager 依次調(diào)用各個 AuthenticationProvider 進行認證，認證成功后返回一個封裝了用戶權限等信息的 Authentication 對象。

將 AuthenticationManager 返回的 Authentication 對象賦予給當前的 SecurityContext 。

自定義驗證

有了以上的知識儲備后就可以來自定義驗證方法了。通過上面可以看出，實際上真正來做驗證操作的是一個個的 AuthenticationProvider ，所以如果要自定義驗證方法，只需要實現(xiàn)一個自己的 AuthenticationProvider 然后再將其添加進 ProviderManager 里就行了。

自定義AuthenticationProvider

@Component
public class CustomAuthenticationProvider
 implements AuthenticationProvider {
 @Override
 public Authentication authenticate(Authentication authentication) 
 throws AuthenticationException {
 String name = authentication.getName();
 String password = authentication.getCredentials().toString();
 if (shouldAuthenticateAgainstThirdPartySystem()) {
  // use the credentials
  // and authenticate against the third-party system
  return new UsernamePasswordAuthenticationToken(
  name, password, new ArrayList<>());
 } else {
  return null;
 }
 }
 @Override
 public boolean supports(Class<?> authentication) {
 return authentication.equals(
  UsernamePasswordAuthenticationToken.class);
 }
}

其中的 supports() 方法接受一個 authentication 參數(shù)，用來判斷傳進來的 authentication 是不是該 AuthenticationProvider 能夠處理的類型。

注冊AuthenticationProvider

現(xiàn)在再將剛創(chuàng)建的 AuthenticationProvider 在與ProviderManager 里注冊，所有操作就完成了。

@Configuration
@EnableWebSecurity
@ComponentScan("org.baeldung.security")
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 @Autowired
 private CustomAuthenticationProvider authProvider;
 @Override
 protected void configure(
 AuthenticationManagerBuilder auth) throws Exception {
 auth.authenticationProvider(authProvider);
 }
 @Override
 protected void configure(HttpSecurity http) throws Exception {
 http.authorizeRequests().anyRequest().authenticated()
  .and()
  .httpBasic();
 }
}

總結

以上所述是小編給大家介紹的Spring Security驗證流程剖析及自定義驗證方法，希望對大家有所幫助，如果大家有任何疑問請給我留言，小編會及時回復大家的。在此也非常感謝大家對腳本之家網(wǎng)站的支持！

您可能感興趣的文章: